Disabling MDM Enrollment when adding work or school account
Introduzione
Per anni, uno degli aspetti più delicati nella gestione dei dispositivi Windows con Microsoft Intune è stato il comportamento associato all’aggiunta di un account di lavoro o scuola nelle applicazioni Microsoft. In molti casi, l’utente stava semplicemente tentando di accedere a Outlook, Teams o Microsoft Edge con il proprio account aziendale, ma si ritrovava coinvolto in un processo che poteva condurre anche all’enrollment MDM del dispositivo. Questo comportamento ha generato non poca confusione, soprattutto negli scenari BYOD, dove il rischio era quello di trasformare involontariamente un pc personale in un dispositivo registrato e potenzialmente gestito dall’azienda.
Con una nuova impostazione attualmente disponibile in public preview, Microsoft interviene proprio su questo aspetto. Nel tenant è infatti presente l’opzione Disable MDM enrollment when adding work or school account, che consente di impedire l’avvio del flusso di enrollment MDM quando l’utente aggiunge per la prima volta il proprio account aziendale in un’applicazione compatibile. In questo modo, l’account può essere utilizzato nelle app senza che il dispositivo venga automaticamente indirizzato verso la gestione completa tramite MDM.
Perché questa novità è importante
Il valore di questa impostazione si comprende bene partendo da un problema noto. Nel flusso tradizionale di accesso alle applicazioni di lavoro su Windows, se l’automatic enrollment era abilitato e l’utente rientrava nello scope MDM, la semplice aggiunta dell’account poteva evolvere rapidamente in un enrollment completo del dispositivo in Microsoft Intune. Il risultato era una sequenza non sempre chiara per l’utente: aggiunta dell’account, registrazione del dispositivo in Microsoft Entra ID, avvio della gestione MDM e successiva applicazione di configurazioni e criteri aziendali.
Dal punto di vista operativo, questo si traduceva in enrollment non intenzionali, dispositivi personali che finivano sotto gestione aziendale e scenari di rimozione o ripristino non sempre immediati da gestire. La nuova impostazione interviene proprio su questo aspetto, rendendo l’enrollment una scelta intenzionale e non una conseguenza implicita del semplice accesso a un’applicazione. La distinzione è particolarmente rilevante nei tenant in cui si vuole mantenere disponibile la possibilità di enrollment, ma solo nei casi in cui sia realmente necessaria. In questo modo, la gestione MDM resta un’opzione prevista dall’azienda, senza però attivarsi in modo ambiguo durante il semplice processo di aggiunta dell’account nelle app.
Registrazione dell’account vs enrollment MDM
Per comprendere correttamente questa funzionalità è necessario chiarire un equivoco piuttosto comune negli ambienti Intune. Aggiungere un account di lavoro o scuola su un dispositivo Windows non equivale automaticamente a eseguire l’enrollment MDM del device. Si tratta infatti di due passaggi distinti, che possono comparire nello stesso percorso utente ma che non rappresentano la stessa operazione. Quando l’utente aggiunge il proprio account aziendale da un’applicazione supportata, il primo passaggio riguarda la registrazione dell’account sul dispositivo.
Se sceglie l’opzione che consente di usare l’account a livello di dispositivo, il pc viene registrato nella directory dell’azienda e nel tenant diventano visibili alcune informazioni di base, come ad esempio il nome del dispositivo, il sistema operativo e il tipo di join. Se invece l’utente seleziona l’opzione equivalente a “No, this app only”, l’accesso resta limitato alla singola applicazione e l’account non viene aggiunto al dispositivo (Figura 2).
Solo in un secondo momento, e solo se l’azienda utilizza una piattaforma di device management, può comparire una schermata ulteriore che avvia il percorso di gestione del dispositivo. È proprio in questo punto che interviene la nuova impostazione: quando viene abilitata, la schermata relativa alla gestione MDM non viene più proposta durante il flusso di aggiunta dell’account nelle app (Figura 3), evitando che la semplice registrazione dell’account evolva in enrollment MDM lungo quello specifico percorso.
Cosa cambia concretamente con il nuovo toggle
L’effetto della nuova impostazione è piuttosto chiaro, infatti il toggle consente la registrazione dell’account, interrompe il flusso prima dell’enrollment MDM, rimuove la schermata “Allow my organization to manage my device” durante il sign-in alle applicazioni e lascia invariati i percorsi di enrollment avviati in modo intenzionale. Questo ultimo aspetto è particolarmente importante, perché conferma che non si tratta di una disattivazione generale dell’MDM, ma di una modifica mirata al comportamento del flusso di registrazione avviato dalle applicazioni.
Dal punto di vista pratico, questa impostazione è utile soprattutto quando si vuole evitare che un utente, su un dispositivo personale, venga indirizzato verso l’enrollment in Intune durante il semplice accesso a un’app come Teams o Outlook. Diverso è invece il caso in cui l’obiettivo sia impedire in assoluto qualsiasi forma di enrollment del dispositivo; in quel contesto è necessario intervenire anche su altri elementi di governance, come scope MDM, enrollment restrictions, ownership del device, criteri di accesso alle risorse e controlli amministrativi più ampi. La nuova impostazione, infatti, agisce su uno specifico flusso di registrazione e non su tutti i canali di enrollment disponibili.
Come configurare “Disable MDM enrollment when adding work or school account”
Dal punto di vista amministrativo, la configurazione è piuttosto semplice. Vediamo come abilitarla passo dopo passo. Come prima cosa, accediamo al Microsoft Intune admin center e navighiamo in Devices > Enrollment. Nella scheda Windows, all’interno della sezione Enrollment options, selezioniamo Automatic Enrollment.
A questo punto si apre la schermata di configurazione relativa all’enrollment di Microsoft Intune. Qui è possibile gestire i parametri di enrollment automatico per Windows, inclusa la nuova opzione Disable MDM enrollment when adding work or school account on Windows. Per abilitare il comportamento descritto in questo articolo, è sufficiente impostare il toggle su Yes e quindi fare clic su Save per salvare la configurazione. Da questo momento, negli scenari supportati, il flusso di aggiunta dell’account di lavoro o scuola nelle applicazioni non proporrà più il passaggio che porta all’enrollment MDM del dispositivo.
Importante: Va ricordato che questa impostazione è attualmente in public preview ed è disattivata per impostazione predefinita.
Ambito di applicazione
Su questo punto è importante essere particolarmente precisi, perché è anche quello in cui si genera più facilmente confusione. Questa impostazione si applica agli utenti inclusi nella configurazione di automatic MDM enrollment con scope Some o All, su dispositivi registrati in Microsoft Entra, quando l’account viene aggiunto per la prima volta tramite Microsoft Edge o un’app nativa, ad esempio Teams.
L’impostazione non si applica invece al flusso di aggiunta dell’account tramite Windows Settings. Questo significa che il percorso classico disponibile in Settings > Accounts > Access work or school continua a seguire le normali logiche di enrollment. Infatti, gli utenti possono comunque eseguire l’enrollment MDM tramite Windows Settings, se rientrano nello scope dell’automatic enrollment, oppure attraverso i prompt mostrati quando tentano di accedere a una risorsa che richiede esplicitamente la gestione del dispositivo. Anche scenari come Windows Autopilot o, più in generale, i percorsi di provisioning intenzionale non vengono modificati da questa impostazione. Il suo scopo è infatti intervenire sul comportamento del flusso di registrazione avviato dalle applicazioni, non sui percorsi standard di enrollment previsti per dispositivi aziendali o per setup gestiti direttamente dall’IT.
| Scenario | Azione dell’utente | Comportamento predefinito | Comportamento con Disable MDM enrollment when adding work or school account on Windows = Yes |
|---|---|---|---|
App sign-in da Edge o app native supportate | L’utente aggiunge per la prima volta l’account di lavoro o scuola da Microsoft Edge o da un’app nativa come Teams | Il flusso può partire con la registrazione dell’account sul dispositivo e proseguire fino al prompt che propone la gestione MDM del device. | La registrazione dell’account resta consentita, ma il flusso si interrompe prima dell’enrollment MDM e la schermata “Allow my organization to manage my device” non viene mostrata. |
Windows Settings | L’utente usa Settings > Accounts > Access work or school | Il percorso segue le normali logiche di registrazione ed eventuale enrollment MDM. | Nessuna modifica: Microsoft specifica che questa impostazione non si applica al flusso avviato da Windows Settings. |
Accesso a risorse che richiedono un device gestito | L’utente prova ad accedere a una risorsa aziendale che richiede esplicitamente l’enrollment MDM | L’utente può ricevere un prompt che lo indirizza verso l’enrollment del dispositivo. | Nessuna modifica: i prompt legati all’accesso a risorse che richiedono MDM restano disponibili. |
Windows Autopilot / provisioning intenzionale | Il dispositivo viene configurato tramite un percorso guidato dall’IT o di provisioning aziendale | Enrollment e provisioning seguono il flusso previsto dall’organizzazione. | Non è il flusso su cui interviene questa impostazione: la feature è pensata per il modern app sign-in flow, non per i percorsi di provisioning intenzionale. |
Il caso d’uso ideale sono gli scenari BYOD
Il contesto in cui questa impostazione esprime al meglio il proprio valore è quello dei dispositivi personali. Infatti, quando si applicano criteri di Windows MAM agli account di lavoro o scuola, questa opzione dovrebbe essere abilitata. L’obiettivo è consentire agli utenti di accedere alle applicazioni supportate con il proprio account aziendale, proteggendo dati e accessi senza avviare automaticamente l’enrollment MDM del dispositivo. In questo modo risulta più chiara anche la separazione tra uso dell’account nelle app, registrazione sul dispositivo ed eventuale gestione MDM, rendendo l’esperienza più coerente con una strategia BYOD moderna.
Allo stesso tempo, questa funzionalità non va interpretata come un sostituto della governance. Abilitare l’opzione Disable MDM enrollment when adding work or school account non elimina la necessità di definire con precisione chi può eseguire l’enrollment, con quali dispositivi, in quali scenari e con quali controlli. L’enrollment può infatti continuare ad avvenire tramite altri percorsi intenzionali, come Windows Settings o i prompt mostrati quando una risorsa richiede esplicitamente la gestione del dispositivo. Per questo motivo, il valore della novità è nel rendere più lineare il flusso di accesso alle applicazioni e nel ridurre il rischio di enrollment accidentali.
Best practices
Dal punto di vista operativo, il principio da seguire è quello di mantenere disponibile l’enrollment quando serve, ma richiedere un’azione intenzionale per avviarlo nei flussi di accesso alle applicazioni. In termini pratici, questo significa valutare l’abilitazione dell’impostazione nei tenant in cui sono presenti scenari BYOD o modelli di Windows MAM, e verificare che help desk e team di supporto sappiano distinguere correttamente tra registrazione dell’account ed enrollment MDM. È altrettanto importante aggiornare la documentazione interna e le comunicazioni rivolte agli utenti, perché un flusso più chiaro riduce ambiguità, enrollment non intenzionali ed escalation evitabili, senza modificare i percorsi di provisioning o di enrollment intenzionale già previsti dall’azienda.
Conclusioni
L’impostazione Disable MDM enrollment when adding work or school account è una novità che può sembrare marginale, ma che in realtà interviene su un’ambiguità che va avanti da anni dell’esperienza Windows con Intune. Per molto tempo, infatti, il semplice utilizzo di un account di lavoro o scuola in un’applicazione poteva facilmente sovrapporsi, agli occhi dell’utente, a un percorso di gestione completa del dispositivo. Con questa nuova opzione, Microsoft introduce un comportamento più chiaro e più in linea con gli scenari moderni di BYOD e di protezione delle applicazioni, separando meglio la registrazione dell’account dall’enrollment MDM del device.
Per chi amministra Microsoft Intune, il messaggio corretto è quello di rendere l’enrollment una scelta intenzionale nei flussi di accesso alle applicazioni. È proprio questa distinzione a rendere la funzionalità interessante. Niente enrollment accidentali, minore confusione per gli utenti, meno complessità per il supporto e una governance del tenant più in linea con i reali obiettivi di gestione dei dispositivi.
